“黑市”与“黑客”侵蚀大数据安全
专家表示,技术创新与完善法制是解决数据安全的两大关键
新年伊始,国内外几场大数据产业论坛和展会,无一例外地把大数据安全作为一个重要内容。《经济参考报》记者采访获悉,当前,数据采集、存储、交易等环节均存在安全隐患,数据隐私管理法规不健全,数据产权的立法滞后。专家建议,从技术创新和完善法制两方面保障大数据安全,推动大数据产业发展。
黑市个人信息非法交易活跃
刚刚过去的一年,国内外数据之战频发。国内有菜鸟顺丰、腾讯华为、微博今日头条之间的数据争夺,国外有亚马逊和沃尔玛零售业数据纠纷,这些都表明,越来越多的企业尤其是积累了海量数据的企业,愈发重视数据资产的价值。
在中国,大数据市场早已风生水起。近年来,九次方大数据、数据堂、聚合数据等专业化数据服务提供商出现在市场。而贵阳大数据交易所的挂牌运营,带动全国多个省市建立了自己的大数据交易所。除了交易所或交易平台,大数据交易市场还有一支中坚力量——电信运营商和银联。据了解,中国电信集团2017年大数据交易的KPI(关键绩效指标)是6亿元,已经基本完成;中国联通集团大数据KPI是4亿元,据说完成得不太好,其中,上海联通大数据KPI2017年是4000万元,已经完成了3600万元。北京移动2017年大数据收入有望达到1亿元。
此外,市场上还有一类公司专门为AI(人工智能)公司提供数据清洗、标注等数据加工服务,因为AI算法需要专门的AI训练数据。BAT(百度、阿里、腾讯)每年在数据清洗、标注等数据加工服务方面的支出超过上亿元。
业内人士在接受《经济参考报》记者采访时透露,出于个性化服务和精准营销的目的,企业大都希望全面了解自己的用户,但每家公司从自有渠道收集的数据都是片面的,从而滋生购买数据或与其他公司交换数据的需求。据了解,除了政府开放的数据和企业自身收集的数据,市场上交易也是数据的重要来源,但这也在某种程度上催生了黑色产业链。据业内人士介绍,正规数据交易市场的交易额约为100亿元,而数据黑市的交易额度则庞大得多,盈利状况也很好。
多年来,以贩卖个人信息为主的地下数据黑产业链十分活跃,这在一定程度上制约了合法大数据交易产业的发展。据了解,正规交易的数据需要经过采集、清洗、脱敏、脱密、融合等流程,保障了数据的合法性、真实性和安全性,成本也相应提高。但黑市交易的大部分数据多由内鬼或黑客窃取得来,几乎是无本万利。比如,正规渠道的人脸识别数据价格为每条0.1元,而黑市上只需花1分钱就能获取同样的数据。
有业内人士估算,目前黑市交易可能是中国数据交易的主流。据不完全统计,国内个人信息泄露数达55.3亿条左右,平均每人就有4条相关的个人信息被泄露,这些信息在黑市中反复被倒手。其中,80%的数据泄露自企业内部人,黑客占20%。
据外媒报道,日本数字货币交易所Coincheck最近对外宣布,其系统遭遇黑客攻击,共丢失价值5.3亿美元的新经币。资料显示,新经币目前是全球第八大数字货币,市值达93.95亿美元。此次失窃事件发布之后,该币值一度上涨超30%。而此次事件也成为自2009年数字货币问世以来最大的失窃案之一。
几年前,全球最大的电子邮件营销公司艾司隆(Epsilon)发生了史上最严重的黑客入侵事件,主要的企业客户名单以及电子邮件地址因此外泄,受害企业包括摩根大通、第一资本集团、万豪酒店、美国银行、花旗银行及电视购物网络等。而就在不到一个月时间的同年4月底,索尼公司遭到黑客攻击,泄露了一亿份账户资料,其Play Station网络和Qriocity流媒体服务不得不关闭将近一个月。索尼公司因此花费了约1.71亿美元来弥补这个损失。
两大核心技术保障数据安全
我国《大数据产业发展规划2016-2020年》提出,大数据产业要安全规范发展,必须“坚持发展与安全并重,增强信息安全技术保障能力,建立健全安全防护体系,保障信息安全和个人隐私。加强行业自律,完善行业监管,促进数据资源有序流动与规范利用”。例如,贵州省作为全国首个大数据综合试验区,高度重视大数据安全产业发展,建设大数据安全靶场和大数据安全产业园,并设立“贵阳市大数据信息安全产业创业投资基金”。
据记者观察,随着《中华人民共和国网络安全法》及相关配套细则的正式实施,大数据安全的市场空间得到进一步释放,政府和企业在大数据安全技术、产品和服务创新方面的投入正进一步加大。
业内人士表示,无论是国内还是国外,大数据交易均面临数据产品未授权复制,数据被泄密、伪造和篡改,交易行为抵赖等安全威胁,而密码技术和人工智能技术是保障大数据交易安全的核心和关键。
国家密码管理局商用密码管理办公室副主任安晓龙说,大数据安全与国家网络空间安全密切相关。大数据具有数量庞大、处理迅速、类型多样、高价值等特点,数据在集聚过程中由量变产生质变,集聚程度越高,其重要性和价值性就越高,安全保障的任务也会越来越重。“密码技术是保障大数据安全最可靠、最经济、最有效的手段,应积极推进密码技术应用,切实保障大数据安全。密码技术作为国家安全的三大支撑技术之一,是保障大数据安全的可靠方法。”
近年来,为了发展国家密码技术,国家密码管理局相继颁布了从SM1到SM9的自主研发密码算法,这些算法基于现代密码学的原理,逐渐成为我国信息安全保护的核心手段。SM9算法是一种新型的基于标识的密码算法,使用用户的标识(如邮箱地址、手机号码)作为公钥,大大地简化了传统公钥密码体系中密钥和证书管理的复杂性,使安全性和易用性得到完美的结合,非常适用于基于互联网、大数据、云计算等各种新兴应用的安全保障。
作为SM9算法发起人之一,奥联首席技术官程朝辉表示,在大数据已经上升为国家战略、密码算法成大数据安全核心机制的当下,国密算法SM9的推广和普及显得尤为迫切,亟须政府部门、机构、企业等多方力量的共同推进。
此外,国内外厂商也正在研究利用机器学习和人工智能技术来提升网络和数据安全。亚信网络安全产业技术研究院正在从反思Wanna Cry蠕虫勒索病毒出发,回顾数据统计及机器学习技术应用于网络安全的历史,并围绕机器学习来驱动网络安全发展。
根据美国韦克菲尔德研究中心和网络安全厂商Webroo最近对400名安全专家的查询,99%的受访者认为选用人工智能在总体上可以改进其组织的网络安全。87%的受访者表明他们的组织已将人工智能作为其网络安全策略的一部分。实际上,美国74%的网络安全专业人士认为,在未来三年内,假设没有人工智能,他们的公司将无法保护数字资产的安全。
美国网络安全厂商Imperva公司首席技术官Terry Ray说:“人工智能可以做到这一点。它们了解数据中心的遵循性,然后调整并编写一个新的防火墙规则来恢复它。具体来说,人工智能选择一个需要在一系列条件下进行保护的新程序,并自动编写所需的防火墙规则以强化这个新程序从一个数据中心移动到另一个数据中心。当然,也可以在同一个数据中心内搬家。”
网络安全厂商FireMon公司总监Josh Mayfield表示,当数据中心需要改动时,人为更改防火墙规则显得很凌乱。而凭借虚拟机、微分段和按需核算,将比作业人员处理的速度更快。
据记者了解,国内有关机构和公司也正在广拓思路,寻找更多更有效的技术措施来保障大数据安全。目前公安部第三研究所网络身份技术事业部正与上海数据交易中心共研共建“数据流通xID标记技术”,以实现个人数据去标识化,保证流通安全。
北京卫达信息CEO张长河说,“随着网络安全面临的威胁日益增多,传统的防御手段存在过于被动等缺陷,可能因一个漏洞就毁于一旦。卫达信息正在研究目前的先进技术——基于动态变化的动态防御。”
数据确权是大数据立法关键
2018年初,对大数据时代个人隐私安全的担忧再度升级:微信官方表示,不会将用户任何聊天内容用于大数据分析;支付宝因用户查看年度账单时“被同意”收集个人信息,被国家网信办约谈;百度则回应江苏消协称,旗下手机应用没有能力、也从来不会申请监听用户电话。
业内专家表示,随着云计算、物联网和移动互联网等新一代信息技术的飞速发展,大数据应用规模日趋扩大,在数据采集、存储、开放共享等方面均存在安全隐患。由于数据隐私管理法规不健全,数据产权立法滞后,缺乏推动各个部门数据交换和共享的制度、规范和标准,公民隐私得不到合法保护,与此同时,社交网站的隐私数据也可能被不法商家利用,这些都给数据安全带来了巨大的挑战。
大数据和信息安全方面的专家表示,我国应尽快推进大数据安全的法律建设。首先是个人信息安全与隐私权保护问题、数据权属及应用中的法律问题;第二是人工智能、区块链等新兴产业中的数据应用法律问题;第三是行业内部大数据的法治问题。
中国政法大学副校长时建中表示,“数据安全应成为大数据行业立法的重点。”他说,法的价值一般包括安全、公正和效率。其中,安全应是第一位和基础性的价值,没有安全,公正与效率便是奢谈。因此,数据生产、采集、存储、加工、分析、服务等相关经济活动中如何确保数据安全,应该是立法的重点,是规范数据行为和促进数据行业发展的法治需求。
随着2017年6月1日《网络安全法》和《最高人民法院、最高人民检察院关于办理侵犯个人信息刑事案件适用法律若干问题的解释》的出台,从事黑灰色数据交易的法律风险陡然增大,非法数据买卖和提供达到50条就能入刑,公安部门与监管部门亦联手对大数据行业进行排查整顿。
“现阶段,数据黑市问题严重,这反映出《网络安全法》落实尚未到位,在制度上、人员上、技术防控上还有很大差距。立法不代表问题完全解决,还要加大力度、严格执行法律法规。”中国政法大学传播法研究中心副主任朱巍说。
业内人士认为,去年10月1日起施行的《中华人民共和国民法总则》明确了互联网数据权属于民事权利的一部分,体现出了相当的时代性,适应了互联网融入民事生活的社会现状。然而,数据权和信息权的属性定位尚不清晰。个人信息通常被认为属于隐私权的保护范围,但其实际的权利范围远远不止于此,可能还涉及延伸的财产权利。
在法律专家看来,数据确权是个新兴法律课题,挑战巨大。例如,数据的采集、加工、控制、利用、交易等环节可能有多个参与方,什么情况下什么类型的参与方可以获得数据的权利,所拥有的权利中哪些是排他性的权利(即绝对禁止他人抄袭和模仿)等,每一步设计都关系到多种利益的博弈和平衡,在实践中尚无形成共识和惯例。
法律专家建议,各种法律法规还可进一步衔接,以更加系统化。例如,消费者权益保护法、身份证法、未成年人保护法等都涉及个人信息保护,还需要进一步衔接整合,为未来我国个人信息保护法出台做好充分准备。
大数据流通与交易技术国家工程实验室大数据政策法律研究中心主任高富平指出,应当建立民事、行政和刑事多种手段,国家法治和行业自治协同的全面的个人信息保护体系,在保护个人权益的前提下规范、安全、有序地利用个人信息,释放大数据的红利。
一些律师表示,2017年5月,两高出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对于一些高度敏感信息,如行踪信息、财产信息、通话内容等,入罪标准设定为50条,对于一般敏感信息和其他信息分别设置了500条、5000条的入罪标准。从严设置定罪量刑标准,降低入罪门槛,体现了从严惩处的精神,明确规定了信息数量的计算规则能有效指导司法实践,增强可操作性。不过,通常非法获取、出售、提供公民个人信息,都有其他违法犯罪的用途,定罪量刑不能仅仅以信息类型标准,还应对信息的用途、数量进行综合判断。